Die Elemente eines überzeugenden Phishing-Angriffs
Veröffentlicht am: 14 Jan. 2022
Zuletzt geändert am: 23 Sep. 2025
Cassie Chadwick war eine Betrügerin an der Wende des 20. Jahrhunderts. Chadwick beging eine frühe Version des Identitätsdiebstahls, um Drahtbetrug zu begehen und Banken davon zu überzeugen, dass sie die uneheliche Tochter von Andrew Carnegie sei, um gegen diese Behauptung Kredite aufzunehmen. Im Jahr 1905 wurde Cassie wegen Betrugs an einer Bank zu zehn Jahren Gefängnis verurteilt.
Erfolgreiche Betrügereien, wie die von Chadwick, werden zum Stoff von Legenden. Im Laufe der Jahrhunderte haben Betrüger Social Engineering und ähnliche Betrugsmethoden eingesetzt, um riesige Geldsummen zu erbeuten, indem sie ihre Opfer austricksten.
Heutzutage nutzen Betrüger moderne Kommunikationsmittel wie E-Mails, um ihre Betrügereien durchzuführen. Sie müssen jedoch immer noch die Elemente einer überzeugenden Geschichte verwenden, um sicherzustellen, dass eine Phishing-E-Mail ihren Empfänger erfolgreich täuscht.
Hier sind die Elemente eines überzeugenden Phishing-Angriffs.
Warum sich auf Phishing-Angriffe konzentrieren?
Phishing-Angriffe gibt es schon seit den Anfängen der E-Mail. Das macht Sinn, denn E-Mails können als Verbindungspunkt zwischen einem Hacker und dem Unternehmensnetzwerk genutzt werden, also als Kommunikationsgateway, das dieses Netzwerk öffnen kann, indem es dabei hilft, Passwörter, Benutzernamen und E-Mail-Adressen zu stehlen oder Malware zu liefern.
Laut der neuesten Studie der britischen Regierung, die in dem Bericht „Cyber Security Breaches Survey 2021“ vorgestellt wurde, ist Phishing weiterhin der „häufigste Angriffsvektor“. Der Grund für den anhaltenden Einsatz von Phishing ist, dass es weiterhin sehr erfolgreich ist. Bis zu 32% der Angestellten klicken auf einen Phishing-Link in einer E-Mail und bis zu 8% wissen nicht einmal, was eine Phishing-E-Mail ist.
Ein einziger Mitarbeiter, der auf einen Phishing-Link in einer E-Mail klickt und dann seine Anmeldedaten eingibt, setzt das gesamte Unternehmen dem Risiko einer Datenverletzung oder einer Malware-Infektion aus. Selbst Mitarbeiter mit geringeren Zugriffsrechten können zu einer Eskalation der Rechte und zu Datenschutzverletzungen führen.
Phishing ist einer der Hauptangriffspunkte, und daher bemühen sich die Cyberkriminellen, diesen Angriffsvektor überzeugend zu gestalten, um den Erfolg zu gewährleisten.
Elemente des Erfolgs für Phishing-Mitarbeiter
Um einen Mitarbeiter erfolgreich zu phishen, muss ein Betrüger dafür sorgen, dass die gesamte Phishing-Kampagne überzeugend ist – vom Aussehen der E-Mail bis hin zu den gefälschten Websites, auf die die Phishing-Links den Mitarbeiter führen. Die Elemente einer überzeugenden Phishing-Kampagne werden immer ausgefeilter und umfassen:
Marken-Imitation
Marken-Spoofing wird seit dem Aufkommen des E-Mail-Phishings eingesetzt. Bestimmte Marken sind bei Unternehmen beliebt und werden immer wieder verwendet, um die Empfänger dazu zu bringen, die E-Mail für legitim zu halten und ihre persönlichen Daten zu übermitteln.
Check Point führt regelmäßig Untersuchungen über die beliebtesten Marken durch, die als Grundlage für Phishing-Kampagnen verwendet werden. Eine der am häufigsten gefälschten Marken im Jahr 2021 war Microsoft. Die Marke wurde in rund 45 % der Phishing-Kampagnen im zweiten Quartal 2021 verwendet.
Abtrünnige, lange und umgeleitete URLs
Wenn Sie mit dem Mauszeiger über einen Link in einer E-Mail fahren, ist das nicht immer ein sicherer Weg, um einen bösartigen Link zu erkennen. In letzter Zeit haben Betrüger damit begonnen, „gefälschte URLs“ zu verwenden, um den bösartigen Charakter eines Phishing-Links zu verschleiern.
Dabei wird in der Regel die wahre Adresse eines Links mithilfe von Sonderzeichen versteckt. Ein URL-Encoder wird verwendet, um eine URL durch Hinzufügen von Prozentzeichen zu verändern, d.h. eine URL-Zeichenkette mit einem %-Zeichen zu beginnen, um die wahre Natur einer Webadresse zu verbergen. Diese URLs werden von Google akzeptiert und lassen sich daher nur schwer durch Filter für statische Inhalte verhindern.
Sehr lange URLs werden auch verwendet, um eine bösartige Webadresse zu verschleiern. E-Mail-Links sind auf mobilen Geräten bekanntermaßen schwer zu erkennen, und sehr lange URLs machen es noch schwieriger, verdächtige Links zu erkennen.
Auch die Verwendung mehrerer Links und Weiterleitungen wird jetzt eingesetzt, um Benutzer zu verwirren. Eine kürzlich durchgeführte Phishing-Kampagne mit mehreren Umleitungen führte die Benutzer durch eine Reihe von Umleitungen, die in einer Google reCaptcha-Seite endeten, die schließlich auf eine gefälschte Office 365-Seite weiterleitete, auf der die Anmeldedaten gestohlen wurden.
Falsche Sicherheitssignale
Die Menschen können sich nicht mehr auf die Verwendung von Sicherheitssignalen verlassen, die anzeigen, dass eine Website vertrauenswürdig ist. Zum Beispiel das Schloss-Symbol, das auf bestimmten Websites zu sehen ist und mit dem S am Ende von HTTP, d.h. HTTPS, verbunden ist. Dies zeigt an, dass eine Website ein digitales Zertifikat (SSL-Zertifikat) verwendet, um zu signalisieren, dass es sich um eine sichere Website handelt. Die Anti-Phishing Working Group (APWG) hat jedoch festgestellt, dass 82 % der Phishing-Websites im zweiten Quartal 2021 ein SSL-Zertifikat verwendet haben.
Social Engineering Tricks
Alle oben genannten Taktiken werden durch verschiedene bewährte Social-Engineering-Tricks unterstützt, mit denen die Mitarbeiter auf die nächste Stufe der Phishing-Kampagne gelangen. Es ist der Social-Engineering-Aspekt des Phishings, der es den Cyberkriminellen hinter der Kampagne ermöglicht, den Prozess in Gang zu setzen, der in Ransomware, Datenschutzverletzungen und anderen Arten von Cyberangriffen endet.
Social Engineering ist ein Oberbegriff für eine Vielzahl von Techniken, mit denen das Verhalten von Mitarbeitern manipuliert werden kann; typische Methoden sind:
- Dringlichkeit: Eine Phishing-E-Mail oder -SMS kann eine dringende Aufforderung enthalten, eine Aufgabe zu erledigen. Business Email Compromise (BEC), bei dem Phishing-Komponenten in den Angriff eingebaut werden, verwendet diesen Trick häufig. Ein Beispiel ist eine gefälschte E-Mail, die so aussieht, als käme sie von einem hochrangigen Manager mit der dringenden Aufforderung, Geld an einen neuen Kunden zu überweisen oder den Verlust des Kunden zu riskieren.
- Andere emotionale Auslöser: Betrüger spielen mit den Emotionen der Menschen, um sie dazu zu bringen, Aufgaben auszuführen, wie z. B. auf einen bösartigen Link in einer E-Mail zu klicken oder vertrauliche Informationen weiterzugeben. Neugierde, Sorge um die Sicherheit, der Wunsch zu gefallen und der Wunsch, einen Job gut zu machen, werden als Phishing-Köder eingesetzt.
- Spear-Phishing und Aufklärung: Um ihre Phishing-Angriffe zu perfektionieren, können Betrüger Spear-Phishing einsetzen. Diese gezielte Form des Phishings steckt hinter vielen Angriffen, erfordert aber einen höheren Aufwand, da die Betrüger E-Mails erstellen, die die Rolle der Zielperson genau widerspiegeln. Damit Spear-Phishing-E-Mails erfolgreich sind, führen die Betrüger in der Regel eine Erkundung des Ziels durch, bevor sie die Phishing-Kampagne erstellen.
Cyberkriminelle sind Meister im Erstellen erfolgreicher Phishing-Kampagnen und die Statistiken beweisen dies. In einem Bericht der APWG heißt es: „Nach einer Verdoppelung im Jahr 2020 ist die Zahl der Phishing-Angriffe auf einem stabilen, aber hohen Niveau geblieben.“ Die Elemente eines überzeugenden Phishing-Angriffs sind erprobt und werden von Betrügern als zuverlässig angesehen. Wenn ein Unternehmen diese Elemente versteht, kann es sie effektiver abwehren.
Wie Sie Ihr Unternehmen gegen einen Phishing-Angriff verteidigen
Die Elemente eines erfolgreichen Phishing-Angriffs basieren zunehmend auf der Anwendung von Techniken, mit denen herkömmliche Anti-Phishing-Technologien wie Inhaltsfilter umgangen werden können. Das soll nicht heißen, dass Inhaltsfilter keine Rolle beim Schutz eines Unternehmens vor ausgeklügelten Phishing-Kampagnen spielen.
Doch auf sie ist kein Verlass. Phishing-Kampagnen nutzen weiterhin den Menschen in der Maschine, um in ein Unternehmensnetzwerk einzudringen. Wir sollten davon ausgehen, dass dies auch weiterhin der Fall sein wird und dass die Entwickler von Phishing-Kampagnen immer wieder Wege finden, die Technologie zu umgehen.
Ein mehrstufiger Ansatz zur Phishing-Kontrolle besteht darin, Ihre Mitarbeiter mit den Werkzeugen auszustatten, die ein erfolgreiches Phishing verhindern. Durch eine Mischung aus Sicherheitsschulungen und ständigen Phishing-Simulationen sind Ihre Mitarbeiter in der Lage, eine Phishing-E-Mail zu erkennen, bevor sie zu einem Einfallstor wird.
